Apache Friends Support Forum

[Lutze1106]

Hallo liebe Boardnutzer,

zuerst einmal Danke für die nette Aufnahme hier im Board. Da habe ich auch gleich eine Frag.

Ich habe einen Server am Start mit einem Debian Jessie und einem Apache 2.4 am laufen. Auf dem Server laufen 2 Domains, von der eine zusätzlich auch SSL unterstützt.

Also man kann folgendes aufrufen:

http://Domain1.de
https://Domain1.de

http://Domain2.de

jeweils ein vhost Eintrag. Wenn ich jetzt ausversehen https://Domain2.de aufrufe kommt natürlich das Zertifikat von Domain 1 daher und es gibt eine Fehlermeldung. Kann man das irgendwie verhindern? Ich habe es schon mit NameVirtualHost und SSLStrictSNIVHostCheck off probiert, es kommt aber immer das Selbe mit einer Fehlermeldung. Sicherlich liegt es daran das der Browser zuerst eine SSL Verbindung auf 443 aufbaut um anschließend festzustellen das doch das falsche Zertifikat übermittelt wird. Kann man das irgendwie vorher mit einer Umleitung oder dergleichen verhindern?

Grüße und vielen Dank!

Lutze

[Nobbie]

jeweils ein vhost Eintrag. Wenn ich jetzt ausversehen https://Domain2.de aufrufe kommt natürlich das Zertifikat von Domain 1 daher und es gibt eine Fehlermeldung. Kann man das irgendwie verhindern? Ich habe es schon mit NameVirtualHost und SSLStrictSNIVHostCheck off probiert, es kommt aber immer das Selbe mit einer Fehlermeldung. Sicherlich liegt es daran das der Browser zuerst eine SSL Verbindung

Das ist überhaupt nicht "natürlich". Wenn Du blitzsauber verschiedene VirtualHosts (für Port 443) definiert hast und Du dort verschiedene Zertifikate anlegst, wird auch das richtige Zertifikat angezeigt. Irgendetwas ist nicht richtig konfiguriert. Da Du "aus Versehen" schreibst vermute ich, dass Du gar keinen VirtualHost für Domain2.de angelegt hast und das geht natürlich in die Hose, weil er dann den VirtualHost von Domain1.de benutzt (Apache benutzt den ersten vorhandenen VirtualHost, wenn die Anfrage eine unbekannten Host anfordert, für den es keinen VirtualHost Eintrag gibt).

Wenn Du kein weiteres Zertifikat anlegen willst (das wäre das sauberste), dann könnte man ein sog. "Wildcard" Zertifikat versuchen, aber da habe ich keine Erfahrung mit, ich weiß aber, dass es so etwas gibt. Würde ich mal nach "NameBased VirtualHost SSL" googlen, gibt es sicherlich massenhaft Treffer. Oder versuchen, einen VirtualHost für Domain2.de anzulegen und dort SSL zu deaktivieren und direkt einen Redirect auf http://Domain2.de eintragen, aber es kann sein, dass im Kontext von Port 443 immer SSL aktiv ist. Aber das hat man ja schnell getestet, auch da wird es sicher Beispiele im Internet geben ("NO SLL on Port 443" oder so würde ich suchen).

Last not least kann man es aber auch alles so lassen, wie es ist. Das ist ja ein Anwenderproblem, kein Serverproblem und es richtet auch keinerlei Schaden an. Wenn der Anwender "aus Versehen" diese URL eingibt, gibt es eben Zertifikatsfehler - na und? Das ist ja kein Infrastrukturproblem, dass Du beispielsweise selbst in einem Dokument darauf verlinkt hättest. Und Du benötigst https ja auch nicht für diese Domain. Wozu einen Fehlerfall abfangen, den ein Anwender macht? Wenn jemand "Google" mit "u" eingibt, gibt es auch eine Fehlermeldung, das ist eben so. Oder wenn man ein nicht existierendes Dokument anfordert. Das geht halt in die Hose, aber eben beim Anwender, ist ja sein Problem, nicht Deines.